ČESKÁ TECHNICKÁ NORMA
ICS 35.040 Červenec 2013
Informační technologie – Bezpečnostní techniky – |
ČSN 36 9790 |
Information technology – Security techniques –
Guidelines for information security management systems auditing
Technologies de l’information – Techniques de sécurité –
Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information
Tato norma je českou verzí mezinárodní normy ISO/IEC 27007:2011. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.
This standard is the Czech version of the International Standard ISO/IEC 27007:2011. It was translated by the Czech Office for Standards, Metrology and Testing. It has the same status as the official version.
Národní předmluva
Informace o citovaných dokumentech
ISO 19011:2011 zavedena v ČSN EN ISO 19011:2012 (01 0330) Směrnice pro auditování systémů managementu
ISO/IEC 27000:2009 zavedena v ČSN ISO/IEC 27000:2010 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ISO/IEC 27001:2005 zavedena v ČSN ISO/IEC 27001:2006 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky
Souvisící ČSN
ČSN EN ISO/IEC 17021:2011 (01 5257) Posuzování shody – Požadavky na orgány poskytující služby auditů a certifikace systémů managementu
ČSN ISO/IEC 27002:2006 (36 9790) Informační technologie – Bezpečnostní techniky – Soubor postupů pro management bezpečnosti informací
ČSN ISO/IEC 27003:2011 (36 9790) Informační technologie – Bezpečnostní techniky – Směrnice pro implementaci systému řízení bezpečnosti informací
ČSN ISO/IEC 27004:2011 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Měření
ČSN ISO/IEC 27005:2013 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
ČSN ISO/IEC 27006:2013 (36 9790) Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací
Vypracování normy
Zpracovatel: Risk Analysis Consultants, s. r. o., IČ 63672774
Technická normalizační komise: TNK 20 Informační technologie
Zaměstnanec Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Petr Wallenfels
MEZINÁRODNÍ NORMA
Informační technologie – Bezpečnostní techniky – ISO/IEC 27007
Směrnice pro audit systémů řízení První vydání
bezpečnosti informací 2011-11
ICS 35.040
Obsah
Strana
Úvod 7
1 Předmět normy 8
2 Normativní odkazy 8
3 Termíny a definice 8
4 Principy 8
5 Řízení programu auditů 8
5.1 Obecně 8
5.1.1 IS 5.1 Obecně 8
5.2 Stanovení cílů programu auditů 8
5.2.1 IS 5.2 Stanovení cílů programu auditů 8
5.3 Stanovení programu auditů 9
5.3.1 Role a odpovědnosti osob řídících program auditů 9
5.3.2 Kompetence osob řídících program auditů 9
5.3.3 Stanovení rozsahu programu auditů 9
5.3.4 Identifikace a hodnocení rizik programu auditů 9
5.3.5 Stanovení postupů pro program auditů 9
5.3.6 Identifikace zdrojů programu auditů 9
5.4 Zavedení programu auditů 9
5.4.1 Obecně 9
5.4.2 Definování cílů, rozsahu a kritérií pro jednotlivý audit 10
5.4.3 Výběr metod auditů 10
5.4.4 Výběr členů týmu auditorů 10
5.4.5 Přiřazení odpovědnosti za jednotlivý audit vedoucímu auditního týmu 11
5.4.6 Řízení výsledků programu auditu 11
5.4.7 Řízení a správa záznamů programu auditu 11
5.5 Monitorování programu auditu 11
5.6 Přezkoumávání a zlepšování programu auditu 11
6 Provádění auditu 11
6.1 Obecně 11
6.2 Zahájení auditu 11
6.2.1 Obecně 11
6.2.2 Navázání prvního kontaktu s auditovanou organizací 11
6.2.3 Určení proveditelnosti auditu 11
Strana
6.3 Příprava činností při auditu 11
6.3.1 Provedení kontroly dokumentace v rámci přípravy na audit 11
6.3.2 Příprava auditního plánu 12
6.3.3 Přidělení práce týmu auditorů 12
6.3.4 Příprava pracovních dokumentů 12
6.4 Provádění auditu 12
6.4.1 Obecně 12
6.4.2 Úvodní jednání 12
6.4.3 Provádění přezkoumání dokumentu při realizaci auditu 12
6.4.4 Komunikace během auditu 12
6.4.5 Přiřazení úloh a odpovědnosti průvodcům a pozorovatelům 12
6.4.6 Shromažďování a ověřování informací 12
6.4.7 Zjištění z auditu 12
6.4.8 Příprava závěrů z auditu 12
6.4.9 Závěrečné jednání 13
6.5 Příprava a distribuce zprávy z auditu 13
6.5.1 Příprava zprávy z auditu 13
6.5.2 Distribuce zprávy z auditu 13
6.6 Dokončení auditu 13
6.7 provedení následného auditu 13
7 Kompetence a hodnocení auditorů 13
7.1 Obecně 13
7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 13
7.2.1 Obecně 13
7.2.2 Chování osob 13
7.2.3 Znalosti a dovednosti 13
7.2.4 Dosažení odborné způsobilosti auditora 14
7.2.5 Vedoucí týmu auditorů 14
7.3 Stanovování kritérií hodnocení auditorů 14
7.4 Výběr vhodných metod hodnocení 14
7.5 Provádění hodnocení auditora 14
7.6 Udržování a zlepšování kompetencí auditora 14
Příloha A (informativní) Doporučení pro provádění auditů ISMS 15
Bibliografie 28
[image] |
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM |
© ISO/IEC 2011
Veškerá práva vyhrazena. Pokud není specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně fotokopií a mikrofilmů, bez písemného svolení buď od organizace ISO na níže uvedené adrese, nebo od členské organizace ISO v zemi žadatele.
ISO copyright office
Case postale 56 · CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
Předmluva
ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčast-
ňují také další vládní a nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.
Návrhy mezinárodních norem jsou vypracovávány v souladu s pravidly danými směrnicemi ISO/IEC, část 2.
Hlavním úkolem společné technické komise je vypracování mezinárodních norem. Návrhy mezinárodních norem přijaté společnou technickou komisí jsou rozesílány národním členům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících národních orgánů.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikování jakéhokoliv nebo všech patentových práv.
ISO/IEC 27007 vypracovala společná technická komise ISO/IEC JTC 1, Informační technologie, subkomise SC 27, IT bezpečnostní techniky.
Úvod
Tato mezinárodní norma poskytuje doporučení pro řízení programu auditů systému řízení bezpečnosti informací (ISMS) a provádění interních nebo externích auditů v souladu s ISO/IEC 27001:2005, jakož i doporučení pro odbornou způsobilost a hodnocení auditorů ISMS, která by se měla používat v souvislosti s doporučením obsaženým v ISO 19011. Tato mezinárodní norma neuvádí požadavky.
Toto doporučení je určeno pro všechny uživatele, včetně malých a středních organizací.
ISO 19011, Směrnice pro auditování systémů managementu poskytuje doporučení pro řízení programů auditů, provádění interních i externích auditů systémů řízení, jakož i pro odbornou způsobilost a hodnocení auditorů systému řízení.
Text v této mezinárodní normě vychází ze struktury ISO 19011 a dodatečné doporučení, jež se konkrétně týká ISMS pro použití ISO 19011 pro audity ISMS, je identifikováno písmeny „IS“.
1 Předmět normy
Kromě doporučení obsažených v ISO 19011 poskytuje tato mezinárodní norma doporučení pro řízení programu auditů systému řízení bezpečnosti informací (ISMS), pro provádění auditů a pro odbornou způsobilost auditorů ISMS.
Tuto mezinárodní normu mohou používat ti, kdo potřebují pochopit nebo provádět interní a externí audity ISMS nebo řídit program auditů ISMS.
Konec náhledu - text dále pokračuje v placené verzi ČSN.
Zdroj: www.cni.cz